美國國家標準與技術研究所(NIST)正在制定網絡安全標準，如果無法滿足這些標準，關鍵基礎設施企業可能會面臨新的責任風險。

該標準的草案原計劃在周四發布，但由于美國政府關門，NIST推遲了該標準的發布。

在今年早些時候總統奧巴馬簽發了行政命令(Executive Order)，該標準始于命令發布之后。 然而，該標準的草案初稿遲遲沒有發布。

根據原定的時間表，在該草案的正式版本發布后，將接受公眾的審查，直到2014年2月。在審查完成后，最終版本將會發布。

這個NIST網絡安全框架旨在為關鍵基礎設施行業(例如電力、電信、金融服務和能源)的企業提供最佳安全做法。該框架的制定還參考了行業利益相關者的意見。

該框架并不是強制執行特定的安全控制，而是提供廣泛的標準來識別和保護關鍵數據、服務和資產。它提供很多用來檢測和響應攻擊的最佳做法，緩解網絡事件帶來的影響以及風險。

奧巴馬在2月份簽發了行政命令，他表示需要迫切解決關鍵基礎設施安全問題，抵御網絡攻擊。政府官員稱美國國會試圖建立可行的網絡安全立法，但屢遭失敗。

參與該標準計劃完全是自愿的。行政命令要求負責關鍵部門的聯邦機構通過激勵以及其他方式來推動該標準的部署。

法律公司Venable LLP的律師Jason Wool表示，但在實踐中，關鍵基礎設施所有者和運營商將可能別無選擇，他們必須遵循這些標準，或者至少展示他們部署了類似的安全措施。

忽視或者違反這些標準的企業可能面臨訴訟以及其他責任索賠。這些標準可能被視為關鍵基礎設施行業安全措施的最低水平。

“你不需要采用這些標準，但事實上，這個框架列出了網絡安全的建議做法，企業需要滿足這些做法，”Wool表示，“在最低限度下，該框架要求關鍵基礎設施的所有者和運營者了解自己的做法，并做出差距分析。”

即使企業不采用這些標準，他們也需要證明他們采取的做法是行之有效的。

Wool表示：“如果一家公司被起訴，該公司需要能夠提供證據證明他們已經研讀了這些標準，執行了風險評估，并以合理的方式管理他們的風險。”

Fox Rothschild公司的律師Scott Vernick表示，這個NIST標準最終可能成為特定領域的法規，由負責不同關鍵基礎設施領域的聯邦機構來監管。從這一點來看，關鍵基礎設施領域的企業將別無選擇，只能部署該標準。

關鍵基礎設施所有者和運營者至少需要確定其安全做法能與這些標準相媲美。企業還應該考慮加入信息共享計劃和其他網絡安全論壇來表明他們正在努力了解新的威脅。

具有諷刺意味的是，即使是采用了這個框架的企業可能也不能擺脫責任風險。

布什政府前助理國務卿Stewart Baker，例如，用于保護個人身份信息(PII)的某些規定可能會給關鍵基礎設施企業帶來問題。Baker現在是Steptoe & Johnson律師事務所的律師。

這個隱私規定可能需要企業采取廣泛的措施來保護個人身份信息，同時執行網絡安全功能。

例如，如果企業想要與其他企業共享威脅信息，他們將需要先對信息進行處理，以確保不涉及個人身份信息。

Baker表示草案文件中的規定很含糊，并沒有明確說明。

共享包含個人數據的威脅信息(例如IP地址和電子郵件地址)的企業可能面臨一些法律問題。

他表示：“在NIST隱私附錄生效后，隱私網絡安全共享將會變得非常緩慢，因為律師需要確保信息中沒有涉及個人身份信息。總之，在NIST框架下，現在使用的所有網絡安全措施都將出現新的局限性和帶來新的責任風險。”(鄒錚編譯)